]> git.koha-community.org Git - koha.git/commit
Bug 9611: Change the password hashing algorithm from MD5 to Bcrypt
authorSrikanth Dhondi <srikanth@catalyst.net.nz>
Wed, 13 Feb 2013 01:40:02 +0000 (14:40 +1300)
committerGalen Charlton <gmc@esilibrary.com>
Thu, 3 Oct 2013 22:22:32 +0000 (22:22 +0000)
commitf2162a86b06c3338cde69b5a8ccf393c724c1e78
tree1155fdd9610255cb2c81d885d9399833ece80edc
parent88936cb5245b854d5396d5bca0a9719a9a9bd1cc
Bug 9611: Change the password hashing algorithm from MD5 to Bcrypt

What this patch aims to accomplish?

 * All new passwords are stored as Bcrypt-hashes
 * For password verification:
     - If the user was created before this patch was applied then use
        MD5 to hash the entered password <-- backwards compatibility
     - If the user was created after this patch was applied then use
       Bcrypt to hash the entered password
 * Any password change made via the staff interface or the OPAC will
   be automatically Bcrypt-hashed; this applies to old users whose
   passwords were stored as MD5 hashes previously

Test plan:
  1) Add new users and check whether their passwords are stored as
     Bcrypt hashes or not.
  2) To test that authentication works for both old as well as new
     users:
       a) Login as an existing user whose password is stored as a
          MD5 hash
       b) Login as an existing user whose password is stored as a
          Bcrypt hash
  3) In the staff interface, change the password of an existing user
     whose password is stored as an MD5 hash
a) Check the new password is stored as a Bcrypt-hash in the database
b) Try to login with the new password
  4) In the OPAC, verify that
    a) Old user with old pass can change password, new format
    b) New user with new pass can change password
    c) Old and new user with self-updated pass can login

Whitespace cleanup was contributed by  Bernardo Gonzalez Kriegel.

Signed-off-by: Bernardo Gonzalez Kriegel <bgkriegel@gmail.com>
Signed-off-by: Mason James <mtj@kohaaloha.com>
Signed-off-by: Galen Charlton <gmc@esilibrary.com>
Signed-off-by: Kyle M Hall <kyle@bywatersolutions.com>
Signed-off-by: Galen Charlton <gmc@esilibrary.com>
C4/Auth.pm
C4/Members.pm
members/member-password.pl
opac/opac-passwd.pl